Команда ESET предупредила о возможности осуществления атаки на ПК с использованием пока не устраненного недостатка работы Microsoft Windows. Исследования показывают, что атаки в основном осуществляются в Польше, Великобритании, США, Украине, Чили и России.
Для захвата компьютера злоумышленники используют локальное повышение привилегий – элемент планировщика задач в версиях 7-10 ОС Windows, который стал уязвимостью нулевого дня. Информация о ней была опубликована 27 августа этого года, и пока обновлений для устранения не выходило.
Вскоре после публикации ESET обнаружила, что кибергрупа PowerPool применяет для точечных атаках вредоносный код, который использует локальное повышение привилегий. Хакеры значительно модифицировали код, выложенный на GitHub, повысив его эффективность.
Атака проводится в 2 этапа:
- Сначала с помощью спам-рассылки устанавливается разведывательная скрытая программа. Она собирает информацию о ПК и передает ее на удаленный сервер.
- Если злоумышленников заинтересовали данные, проводится инсталляция программы, которая предоставляет постоянный доступ к системе. Далее, используя уязвимость нулевого дня, хакеры повышают приоритет выполнения вредоносного кода и перемещаются по сети через PowerSploit, SMBExec, Quarks PwDump, FireMaster и другие инструменты с открытым кодом, получая всю необходимую информацию.
Вызывает сомнение разумность обнародования уязвимости ОС Windows до ее устранения, ведь благодаря этому хакеры могут активно отслеживать последние изменения в софте и создавать более эффективные и лучше скрытые вредоносные коды. Впрочем, пока PowerPool атакуют точечно, только избранные ПК.
